表4 防火墙负载均衡流程描述
步骤 (1) (2) (3) (4) (5) (6) (7) (8) 说明 LB Device A接收流量 LB Device A依次根据持续性功能、负载均衡调度算法选择一个Firewall,并将流量转发给该Firewall Firewall将流量转发给LB Device B LB Device B作为二级LB Device,记录转发该流量的防火墙,并将流量转发到目的地 LB Device B接收目的地发回的流量 LB Device B根据(4)中的记录将流量转发给同一个Firewall Firewall将流量转发给LB Device A LB Device A将流量转发回源地址 备注 - 由于防火墙基于会话开展业务,建议优先选用源地址散列算法 - - - - - -
从以上一系列的说明可以看出——两台LB Device之间并联的防火墙进行网络流量的负载分担,提高了网络的性能。两侧的LB Device和中间并联的防火墙——我们称之为三明治负载均衡。 3. 技术特点
服务对象为防火墙,提高防火墙组网灵活性。没有特殊要求,适用于任何组网环境。 2.4 服务器负载均衡和网关负载均衡融合
网关负载均衡也可以和服务器负载均衡融合使用,以防火墙网关和服务器负载均衡综合组网为例,具体组网如图11所示。
图11 防火墙网关和服务器负载均衡综合组网图
图中Cluster A为防火墙负载均衡的集群,Cluster B为NAT方式服务器负载均衡的集群。综合组网的工作流程就是防火墙、服务器负载均衡流程的叠加。这样的组网方式既避免了防火墙成为网络中的瓶颈,也提高了各种网络服务(如HTTP、FTP)的性能和可用性。 2.5 链路负载均衡
链路负载均衡根据业务流量方向可以分为Outbound链路负载均衡和Inbound链路负载均衡两种情况。
2.5.1 Outbound链路负载均衡
内网和外网之间存在多条链路时,通过Outbound链路负载均衡可以实现在多条链路上分担内网用户访问外网服务器的流量。Outbound链路负载均衡的典型组网如图12所示。 图12 Outbound链路负载均衡组网图
Outbound链路负载均衡包括以下几个基本元素: · LB device:负责将内网到外网流量分发到多条物理链路的设备。 · 物理链路:运营商提供的实际链路。 · VSIP:对外提供的虚服务IP,即用户发送报文的目的网段。 1. 实现原理
Outbound链路负载均衡中VSIP为内网用户发送报文的目的网段。用户将访问VSIP的报文发送到负载均衡设备后,负载均衡设备依次根据持续性功能、ACL策略、就近性算法、ISP表、调度算法选择最佳的物理链路,并将内网访问外网的业务流量分发到该链路。
2. 工作流程
图13 Outbound链路负载均衡流程图
表5 Outbound链路负载均衡流程描述
步骤 (1) (2) 说明 LB Device接收内网用户流量 备注 - 在Outbound链路负载均衡组网LB Device依次根据持续性功能、ACL策略、中,通常使用就近性算法或带宽就近性算法、ISP表、调度算法进行链路选择 调度算法实现流量分发 LB device按照链路选择的结果将流量转发给选定的链路 LB Device接收外网用户流量 LB Device将流量转发给内网用户 - - - (3) (4) (5)
3. 技术特点 · 可以和NAT应用网关共同组网,不同的链路使用不同的源地址,从而保证往返报文穿过同一条链路。 · 通过健康性检测,可以检查链路内任意节点的连通性,从而有效保证整条路径的可达性。 · 通过调度算法,在多条链路间均衡流量,并支持按照带宽进行负载均衡。 · 利用就近性算法动态计算链路的质量,将流量分发到当前最优链路上。 2.5.2 Inbound链路负载均衡
内网和外网之间存在多条链路时,通过Inbound链路负载均衡可以实现在多条链路上分担外网用户访问内网服务器的流量。Inbound链路负载均衡的典型组网如图14所示。 图14 Inbound链路负载均衡组网图
Inbound链路负载均衡包括以下几个基本元素: · LB device:负责引导外网流量通过不同物理链路转发到内网,从而实现流量在多条物理链路上分担的设备。同时,LB device还需要作为待解析域名的权威名称服务器。 · 物理链路:运营商提供的实际链路。 · 本地DNS服务器:负责解析外网用户发送的DNS请求、并将该请求转发给权威名称服务器——LB device的本地DNS服务器。 1. 实现原理
Inbound链路负载均衡中,负载均衡设备作为权威名称服务器记录域名与内网服务器IP地址的映射关系。一个域名可以映射为多个IP地址,其中每个IP地址对应一条物理链路。 外网用户通过域名方式访问内网服务器时,本地DNS服务器将域名解析请求转发给权威名称服务器——负载均衡设备,负载均衡设备依次根据ACL策略、就近性算法、ISP表选择最佳的物理链路,并将通过该链路与外网连接的接口IP地址作为DNS域名解析结果反馈给外网用户,外网用户通过该链路访问内网服务器。 2. 工作流程
图15 Inbound链路负载均衡流程图
表6 Inbound链路负载均衡流程描述 步骤 (1) 说明 外网用户通过域名访问内网服务器时,首先备注 - 步骤 说明 要进行DNS解析,向其本地DNS服务器发送DNS请求 备注 (2) 本地DNS服务器将DNS请求转发给域名对应的权威名称服务器——LB device - (3) LB device根据DNS请求的域名、ACL策略、在Inbound链路负载均衡组网中,就近性算法、ISP表选择最优的物理链路,并通常使用就近性算法实现外网到将通过该物理链路与外网连接的接口IP地址内网流量在多条链路间均衡 作为域名解析结果 LB device按照域名解析的结果,将DNS应答发送给本地DNS服务器 本地DNS服务器将解析结果转发给用户 用户使用解析结果选择的链路,对内网服务器进行访问 - - - (4) (5) (6)
3. 技术特点 · 可以和服务器负载均衡配合适用,实现外网用户访问内网服务器流量在多条链路间均衡的同时,也实现了流量在多台服务器间均衡。 · 通过健康性检测,可以检查物理链路的连通性。 · 利用就近性算法动态计算链路的质量,通过应答报文引导后续业务流量使用当前最优的服务器业务出口。 2.6 全局负载均衡
全局负载均衡基于本地负载均衡,其中每一台GLB设备与其实服务之间所遵循的都是服务器负载均衡的工作机制,全局负载均衡实现的是不同GLB设备之间的均衡调度。全局负载均衡可实现四至七层报文在全局范围内的负载均衡,其负载方式分为DNS智能解析、HTTP重定向、RTSP重定向和IP智能转发四种,下面将分别进行介绍。 图16 全局负载均衡组网图